Cyberactivisme
Transcription
Cyberactivisme
Livre blanc Cyberactivisme Le cyberespace, nouvel espace d'expression politique François Paget, McAfee Labs™ Le cyberactivisme (hacktivism en anglais) est un phénomène qui mêle politique, Internet et divers autres éléments. Commençons par examiner sa composante politique. Le cyberactivisme s'inspire de l'activisme, un engagement politique qui privilégie l'action directe sur le terrain. Pensez par exemple aux militants de Greenpeace qui partent en mer pour saboter les campagnes de pêche à la baleine. Ou encore aux milliers de contestataires qui, en juillet 2011, ont répondu à l'appel de la fondation Adbusters pour occuper pacifiquement un parc de New York dans le cadre de l'opération « Occupy Wall Street ». Sommaire Le mouvement Anonymous 4 Origines 4 Définition du mouvement 6 Quand WikiLeaks rencontre Anonymous 7 Quinze mois d'activité 10 Le printemps arabe 10 HBGary11 Lulz Security et le temps des dénonciations 11 Les droits écologiques 13 Autres opérations 14 AntiSec, doxing et copwatching 15 La riposte des autorités policières 16 Anonymous dans la rue 17 Manipulation et pluralisme 19 Opération Megaupload 20 Communications Les réseaux sociaux et les sites web 20 Ajoutez le piratage sur Internet, avec ses aspects positifs et négatifs, à ce militantisme politique : ainsi est né le cyberactivisme. (Le mot hacktivism en anglais est la contraction de hacking, piratage, et de activism.) Une source fait état d'une première utilisation du terme anglais « hacktivism » dans un article sur la cinéaste Shu Lea Cheang, écrit par Jason Sack et publié dans InfoNation en 1995. Celui-ci apparaît par la suite en 1996 dans un article en ligne rédigé par un membre de l'organisation de pirates américaine Cult of the Dead Cow (cDc)1. En 2000, Oxblood Ruffin, autre membre de l'organisation, écrit que les cyberactivistes se servent des technologies pour défendre les droits de l'homme2. Parfois proches du militantisme libertaire (préservation de la liberté d'entreprendre, de la liberté individuelle, de la liberté d'expression et de la liberté de circulation de l'information), de nombreux activistes défendent également la cause de l'Internet libre. Le mouvement Anonymous est l'incarnation par excellence du cyberactivisme. Privilégiant d'abord les actions visant à défendre leur conception d'Internet, ses membres ont élargi leur champ d'action pour transposer au Web un certain nombre de luttes menées dans la rue. Le cyberactivisme n'est donc pas un phénomène nouveau. Toutefois, ce sont les événements d'Estonie en 2007, puis de Géorgie en 2008 qui l'ont médiatisé. Ces deux cyberattaques, qui s'apparentent plus à des prémices de cyberguerre, sont en effet très éloignées des attaques qui ont ciblé les détracteurs de WikiLeaks ou des sociétés telles que Monsanto. Dates importantes dans l'histoire du cyberactivisme Date Commentaire 12 septembre 1981 Création du Chaos Computer Club à Berlin3. 1984 Publication de l'ouvrage Hackers: Heroes of the Computer Revolution (Hackers, héros de la révolution informatique) de Steven Levy. 8 janvier 1986 Loyd Blankenship, surnommé « The Mentor » publie pour la première fois l'essai The Hacker Manifesto (Manifeste du hacker). 16 octobre 1989 Via le protocole DECNET, un ver se propage au sein du réseau informatique de la NASA dans le Maryland, aux Etats-Unis. Baptisé WANK (Worms Against Nuclear Killers), l'un de ses objectifs est la diffusion d'un message dénonçant les méfaits des essais nucléaires4. 5 novembre 1994 (date de la Conspiration des poudres, ou Guy Fawkes Day) Un groupe de San Francisco, les « Zippies », lance une campagne de déni de service distribué et de bombes électroniques contre des serveurs du gouvernement britannique, pour dénoncer une loi interdisant la tenue en plein air de concerts de musique caractérisée par des pulsations répétitives5. 21 décembre 1995 En Italie, le groupe Strano Network décide de bloquer des sites Internet français pour protester contre les essais nucléaires de Mururoa6. 9 février 1996 John Perry Barlow publie l'ouvrage A Declaration of the Independence of Cyberspace (Déclaration d'indépendance du cyberespace). 30 juin 1997 Le groupe de pirates portugais UrBan Ka0s attaque une trentaine de sites gouvernementaux indonésiens pour attirer l'attention sur l'oppression du peuple du Timor7. 29 janvier 1998 En soutien à la guérilla zapatiste, une manifestation virtuelle est organisée en réaction à un massacre commis par des forces paramilitaires dans un village du Chiapas, au Mexique8. Novembre 1999 Toywar : acte de résistance contre le distributeur de jouets eToys Inc., qui avait attaqué en justice un groupe d'artistes sous prétexte que son nom de domaine était trop proche du sien9. 3 décembre 1999 16 heures (GMT) Le collectif Electrohippies organise un sit-in virtuel en invitant tous ses sympathisants à accéder aux pages du site de l'OMC (Organisation mondiale du commerce) pour bloquer la sortie du communiqué final de la conférence de Seattle10. 20 juin 2001 Pour dénoncer l'utilisation d'avions de la Lufthansa lors de l'expulsion de sans-papiers hors de l'Allemagne, deux réseaux humanitaires allemands ont organisé une manifestation virtuelle en vue de bloquer le site Internet de la compagnie en le bombardant d'e-mails11. 20 IRC21 Anonymat22 Outils de déni de service distribué (DDoS) 23 Cyberdissidents 24 Telecomix25 Autres faits d'armes 26 Patriotes et cyberguerriers 27 Réaction contre Anonymous 28 TeaMp0isoN29 Autres faits d'armes Conclusion 29 31 Aujourd'hui, le cyberactivisme rassemble trois grandes mouvances : 2 Cyberactivisme Cyberactivisme 3 1. Anonymous, la facette la plus médiatisée. Les membres de ce collectif s'affirment partisans d'un Internet libre et ennemis de tous ceux qu'ils accusent de vouloir entraver la libre circulation de l'information. Leurs méthodes relèvent souvent du piratage : attaques par déni de service distribué (DDoS), vol et divulgation d'informations personnelles et/ou confidentielles. Ne dédaignant pas les plaisanteries de mauvais goût, leurs motivations s'éloignent parfois de l'acte politique. Une grande partie de ce document leur est consacrée. 2. Les cyberindignés (en anglais, cyberoccupiers), les vrais militants. Ils utilisent principalement Internet et les réseaux sociaux comme moyens de liaison et outils de propagande ou de renseignement. On trouve parmi eux des cyberdissidents qui, comme leurs équivalents dans la vie réelle, ne reconnaissent plus la légitimité du pouvoir politique à laquelle ils sont supposés obéir. En tentant des actions d'éclat sur Internet, ils espèrent faire avancer la démocratie et combattre la corruption dans leur pays. 3. Les cyberguerriers (cyberwarriors), des patriotes qui se regroupent en cyberarmées (cyberarmies), lesquelles fleurissent dans de nombreux pays à tendance totalitaire. Ces groupes prétendent agir au nom de leur gouvernement en soutenant des thèses nationalistes et extrémistes. Leur principale arme est la dégradation de sites web. Ils se servent également d'outils DDoS, mettant tout en œuvre pour réduire au silence les dissidents. Le 10 février 2008, les Anonymous décident de descendre dans la rue. Pour éviter d'être identifiés par les scientologues, ils portent le masque de Guy Fawkes, héros de la bande dessinée et du film V pour Vendetta. Guy Fawkes (1570-1606) était un catholique anglais qui projeta d'assassiner, le 5 novembre 1605, le roi protestant Jacques 1er en réaction à sa politique en matière de religion qu'il jugeait intolérante. La série de bande dessinée des années 80, V pour Vendetta, écrite par Alan Moore et dessinée par David Lloyd ainsi que son adaptation cinématographique réalisée en 2006 par les frères Wachowski racontent une toute autre histoire. Ici, l'action se situe vers 2040, à Londres, dans une société dictatoriale où un combattant de la liberté se faisant appeler « V » cherche à susciter un changement politique et social en menant une violente vendetta personnelle contre le pouvoir en place. Il porte un masque à l'effigie de Guy Fawkes, qu'il veut imiter en incitant le peuple à sortir de sa léthargie. Après avoir été retravaillé pour le cinéma, le masque a été repris par les adeptes d'Anonymous pour se forger une identité. Le mouvement Anonymous Origines Les origines d'Anonymous sont à chercher dans les forums d'images de 4chan. Créé en octobre 2003 et initialement consacré à la culture manga, ce site est aujourd'hui l'un des lieux les plus fréquentés d'Internet, avec environ 9,5 millions de visiteurs par mois12. Anonymous est une émanation de sa section la plus active, « /b/ ». D'après son créateur, Christopher « moot » Poole, le forum d'échange d'images /b/ recevait entre 150 000 et 200 000 messages par jour en 200813. La liberté d'expression absolue et l'anonymat sont les deux principes fondamentaux du site. Le lol (de « laughing out loud »), le rire bon enfant, côtoie le lulz, son pendant maléfique14. La pornographie la plus extrême et les images scatologiques, racistes ou antisémites se mêlent aux montages photographiques potaches dont les lolcats, photos souvent trafiquées de chats montrés dans les situations les plus invraisemblables. A moins qu'elles ne soient remarquées ou réintroduites, les soumissions sont si nombreuses qu'elles tombent quasiment toutes dans l'oubli. Il n'y a pas de système d'inscription sur le site : tout le monde peut y écrire, et la plupart des visiteurs publient sans pseudonyme, recevant ainsi le nom par défaut d'« anonymous ». A cette époque, les Anonymous fréquentent également Encyclopedia Dramatica, un site créé par Sherrod De Grippo en décembre 200415. Doublure de Wikipédia, il documente de manière satirique, voire choquante, tous les sujets d'actualité. L'année 2006 marque le premier fait d'armes des Anonymous, baptisé « Habbo Raid ». Coordonnant son action avec 4chan et à l'aide d'avatars ayant les traits de Noirs américains portant tous un costume gris, le groupe a pour objectif d'interdire l'accès à la piscine aux avatars des adolescents du monde virtuel Habbo Hotel. Déjà à cette époque, ses motivations sont troubles : simple amusement pour certains, façon de mettre en évidence le manque de personnages noirs dans les réseaux sociaux pour d'autres. Autre combat fondateur pour les Anonymous : la chasse aux pédophiles. En 2007, ils identifient un pédophile canadien, qui sera par la suite arrêté grâce à leurs recherches16. Ici encore, le sujet est pourtant ambigu. Sur 4chan circulent régulièrement des images et des blagues pédophiles associées à un ours en peluche au surnom de Pedobear. Selon Frédéric Bardeau et Nicolas Danet, auteurs du livre Anonymous, « dans la culture 4chan, il s’agit de dénoncer les pédophiles tout en se moquant de façon simultanée des personnes qui publient sur Internet des photos — plus ou moins heureuses — de leurs enfants17 ». Cependant, Anonymous s'est vraiment fait connaître du grand public en 2008 au travers du projet Chanology18. Ce dernier se poursuit d'ailleurs aujourd'hui, avec toujours le même but : dénoncer, d'une manière non violente, les mythes fondateurs de la scientologie, son obscurantisme et les dangers qu'elle fait courir à ses membres en les isolant du monde extérieur. 4 Cyberactivisme Affiche du film V pour Vendetta Nous ne détaillerons pas ici l'ensemble des actions menées par Anonymous entre 2006 et le début de l'opération Cablegate de WikiLeaks. Le tableau suivant en fournit cependant un résumé. Dates importantes dans l'histoire d'Anonymous Date Commentaire 12 juillet 2006 Great Habbo Raid. Premier des raids sur le réseau social pour adolescents Habbo Hotel, destiné à mettre en évidence le manque de personnages de race noire. Décembre 2006 Attaque du site web du nationaliste américain Hal Turner. Août 2007 Soutien aux moines birmans durant la révolution safran. 5 décembre 2007 Arrestation au Canada du pédophile Chris Forcand. Des « cybervigiles » membres de 4chan semblent avoir aidé les forces de l'ordre19. 14 janvier 2008 Projet Chanology. Publication sur YouTube d'une vidéo de propagande censée rester à usage interne de l'Eglise de scientologie. Bien que rapidement supprimée, elle atterri sur 4chan et devient le point de départ de leur combat contre la scientologie. 28 mars 2008 Info ou intox ? Les membres d'Anonymous sont accusés d'avoir introduit des messages et des animations JavaScript sur le forum de l'association Epilepsy Foundation, dans le but de provoquer des migraines et des crises chez les personnes épileptiques. Cyberactivisme 5 Anonymous est un mème Internet, à savoir un phénomène propagé en masse par plusieurs communautés composées d'internautes qui opèrent dans l'anonymat à la réalisation d'un objectif spécifique. Un mème Internet fait référence au concept sociologique du même nom, c'est-à-dire un élément d'une culture ou d'un ensemble de comportements qui se transmet d'un individu à l'autre par imitation. Un déni de service distribué (DDoS, Distributed Denial of Service) est une attaque informatique qui utilise des ordinateurs répartis sur tout le réseau, le plus souvent dans le cadre d'un réseau de robots (botnet). Elle a pour but de rendre un service Internet inaccessible à ses utilisateurs. Elle peut bloquer le fonctionnement d'un serveur de fichiers, rendre un serveur web inaccessible, empêcher la distribution du courrier électronique dans une entreprise ou empêcher l'accès des internautes à un site web. Un déni de service (DoS, Denial of Service) est quant à lui lancé par une seule source. 6 Juin 2008 Attaque contre deux sites de musique hip-hop (SOHH et AllHipHop) après la publication d'insultes à l'égard des adeptes de 4chan. Janvier 2009 Harcèlement d'un jeune Californien pour avoir créé un site opposé aux insultes (No Cussing Club). Avril 2009 Opération MarbleCake. Manipulation des résultats d'un sondage de Time Magazine pour l'élection de la personne la plus influente au monde20. Avril 2009 Opération Baylout. Polémique autour du Paquet Télécom (ensemble de directives européennes visant à lutter contre le téléchargement illégal). Attaque contre l'IFPI (International Federation of the Phonographic Industry), syndicat international de l'industrie du disque. 20 mai 2009 Youporn Day. Distribution sur YouTube de vidéos d'aspect anodin cachant des scènes pornographiques. Juin 2009 Soutien aux opposants iraniens21. Septembre 2009 Opération Didgeridie (projet Skynet). Première phase agressive (qualifiée d'« opération destructive ») pour protester contre un projet de loi du gouvernement australien destiné à instaurer un filtrage de données sur Internet. Octobre 2009 Opération CyberDyne Solutions (projet Skynet). Seconde phase informative de sensibilisation aux moyens de contournement des mécanismes de blocage Internet. 6 janvier 2010 Youporn Day (deuxième édition). Protestation contre la fermeture du compte de Lukeywes1234, surnommé « roi de /b/ »22. 10 février 2010 Lancement de l'opération Titstorm. Protestation contre la décision des autorités australiennes d'interdire la publication d'images à caractère pornographique23. Septembre 2010 Opération Payback. L'action débute après qu'une société indienne annonce avoir mené des attaques par déni de service contre des sites BitTorrent utilisés pour le téléchargement gratuit de vidéos et de musique normalement soumis aux droits d'auteur. En guise de riposte, Anonymous attaque de nombreux sites liés aux majors de l'industrie du cinéma et de la musique ainsi qu'à des artistes24. Une chronologie de cette opération est disponible sur le site myce.com25. Pour annoncer et revendiquer leurs opérations, les membres d'Anonymous mettent régulièrement en ligne des vidéos dont le message est délivré par une voix off synthétique, devenue leur marque de fabrique. Outre les canaux IRC et les vidéos, la communication entre membres passe également par Twitter, Facebook et différents sites web. Quel que soit le média, le message se termine par la devise : « We are Anonymous. We are Legion. We do not forgive. We do not forgive. Expect us. » (Traduction libre : « Nous sommes anonymes. Nous sommes légion. Nous ne pardonnons pas. Nous n’oublions pas. Attendez-vous à nous. ») La qualité des vidéos et des images démontre que leur champ de compétences inclut les arts graphiques. Le 28 novembre 2010 débute l'opération Cablegate. Sans dévoiler d'informations capitales, WikiLeaks commence à publier des câbles de la diplomatie américaine qui brossent un tableau inédit des dessous du pouvoir. Le bras de fer qui s'engage alors pour faire taire WikiLeaks déplait aux Anonymous, qui vont réagir et passer sur le devant de la scène. Quand WikiLeaks rencontre Anonymous WikiLeaks est fondé en 2006 par l'Australien Julian Assange, fermement convaincu des profondes inégalités entre les Etats et leurs citoyens en matière d'accès à l'information. Pour y remédier, il se propose de devenir un intermédiaire entre le grand public et les dénonciateurs d'actes répréhensibles (whistleblowers en anglais), qu'il promet de protéger. Pour garantir l'anonymat de ses informateurs, il fait appel à Jacob Appelbaum, qui participe activement au projet TOR (The Onion Router, un logiciel libre qui permet de se connecter à Internet sans dévoiler son adresse IP). Au fil des ans, WikiLeaks diffuse des documents publics, mais souvent aussi des documents secrets. Le tableau suivant répertorie un certain nombre de documents publiés entre 2006 et novembre 2010, étape charnière de l'histoire des Anonymous et du cyberactivisme. Dates importante dans l'histoire de WikiLeaks Date Publications de WikiLeaks Décembre 2006 Note concernant un ordre d'assassinat politique en Somalie. Août 2007 Rapport accusant de corruption l'ancien président du Kenya Daniel Arap Moi et sa famille27. Novembre 2007 Manuel de l'armée américaine datant de 2003 et portant sur la prison de Guantanamo28. Mars 2008 Document interne du Bureau des affaires spéciales de l'Eglise de scientologie29. Mai 2008 Documents de travail relatifs à l'Accord commercial anticontrefaçon (ACAC)30. Définition du mouvement Même si des membres d'Anonymous sont descendus dans la rue pour protester contre la scientologie, leur principal terrain de lutte est aujourd'hui Internet, et leurs actions consistent essentiellement à faire obstacle à toute tentative de régulation d'Internet. Ils conçoivent l'Internet libre comme un espace permettant tant la diffusion d'images « crues » que la lutte contre la censure en Iran, ou encore le téléchargement gratuit de musique et de vidéos sans se préoccuper des droits d'auteur. Leur objectif est de promouvoir une liberté totale en matière de circulation de l'information, même si celle-ci n'était destinée à être portée à la connaissance du public. Il n'est donc guère surprenant qu'Anonymous soit volé au secours de WikiLeaks sitôt que certains ont voulu le museler. Avril 2009 Résumé des auditions du pédophile belge Marc Dutroux31. Juillet 2009 Anonymous est davantage un concept qu'un groupe. Il s'agit d'un « mème », un code culturel que ses membres peuvent adopter pour agir dans l'anonymat26. Document interne de la banque islandaise Kaupthing, décrivant différents emprunts douteux qu'elle aurait autorisés, quelques jours avant sa nationalisation32. Novembre 2009 E-mails et fichiers attribués à des responsables du Climatic Research Unit (unité de recherche en climatologie) de l'Université d'East Anglia, au Royaume-Uni. Avril 2010 « Collateral Murder » (Meurtres collatéraux) : vidéo de l'armée américaine montrant deux photographes de Reuters tués à Bagdad lors du raid aérien mené par un de ses hélicoptères Apache le 12 juillet 2007. Baptisée « Project B » par Julien Assange, cette publication marque le début de la célébrité mondiale du site. Juillet 2010 « Afghan War Diary » (Journal de guerre afghan) : collection de 91 000 documents militaires américains secrets sur la guerre en Afghanistan (en collaboration avec The Guardian, The New York Times, et Der Spiegel). Octobre 2010 « Iraq War Logs » (Journaux de la guerre en Irak) : 391 832 documents secrets sur l'Irak, portant sur la période du 1er janvier 2004 au 31 décembre 2009. 28 novembre 2010 « Cablegate » : début de la divulgation par WikiLeaks de télégrammes de la diplomatie américaine. Il annonce en posséder plus de 250 000. Anonymous est une étiquette que s'attribuent, à un moment donné, des individus qui mènent des actions spécifiques, même si elles sont peu sophistiquées. Alors qu'ils semblent ne pas avoir de vrais leaders, le groupe se réunit ponctuellement pour mener des actions concertées — entre amusement, souvent de mauvais goût, et militantisme —, pour lesquelles ils trouvent une motivation commune. Tout internaute peut se connecter à ses réseaux de chat IRC, prendre part aux discussions et rejoindre ou proposer une « opération » sur l'une ou l'autre thématique. Au plus fort de la mobilisation, notamment lors du printemps arabe ou de l'opération Payback, les réseaux de chat auraient enregistré un pic de fréquentation de 3 000 personnes connectées simultanément. Une opération consiste, le plus souvent, à rendre inaccessible un ou plusieurs sites web. Pour ce faire, les Anonymous font appel à divers logiciels d'attaque, les plus connus étant LOIC (Low Orbit Ion Canon), un outil de tests réseau à code source libre pouvant servir à la création d'attaques par déni de service, et HOIC (High Orbit Ion Canon), la version hautes performances du précédent. Ces logiciels permettent de surcharger en requêtes un site cible jusqu'à ce qu'il soit saturé : cette technique d'attaque s'appele un déni de service distribué — en anglais DDoS, distributed denial of service. Les sites ont en général beaucoup de mal à résister à ce genre d'assaut. Cyberactivisme Cyberactivisme 7 Le 3 décembre 2010, le compte PayPal de WikiLeaks est suspendu. Parallèlement, les actions en justice se multiplient. Un pirate informatique surnommé Jester (th3j35t3r) et qui s'autoproclame « cyberactiviste au service du bien » a déjà revendiqué la mise hors service temporaire du site WikiLeaks. Pour ce faire, il recourt à son propre outil de déni de service, XerXes, qu'il braque régulièrement sur des sites jihadistes33. Le nombreux cyberactivistes et pirates écrivent, comme Jester, dans une forme d'écriture appelée leet speak (dérivé de l'anglais « elite speak », littéralement le langage de l'élite), en utilisant des caractères numériques et des symboles qui se rapprochent de la forme des lettres, ce qui donne un résultat moins facilement compréhensible. Par exemple, leet speak peut s'écrire comme suit : L33T 5P34K en codage de base 1337 5p34k en codage léger •£33‡ šρ3@ķ en codage moyen •|_ 33¯|¯ _/¯|°3/-\|< en codage élevé • • (Source : Wikipedia. http://fr.wikipedia.org/wiki/Leet_speak) Craignant de voir ses données rendues inaccessibles, WikiLeaks duplique son contenu sur une vingtaine de sites « officiels », la plupart situés dans des pays dotés d'une législation libérale sur le numérique. Le 4 décembre, la mobilisation de la communauté Internet aidant, plusieurs centaines de sites miroirs sont répertoriés aux quatre coins du monde. L'un d'entre eux est établi en Russie (mirror.wikileaks.info, adresse IP : 92.241.190.202) auprès du fournisseur d'accès Internet Heihachi Ltd., connu pour ses liens avec le cybercrime. C'est vers ce site que pointe alors le domaine wikileaks.org. Spamhaus met en garde les internautes contre la dangerosité de ce miroir34. L'organisation subit en retour des attaques par déni de service distribué (DDoS). Avec la poursuite des sanctions financières à l'égard de Julian Assange les jours suivants (imposées par PostFinance, MasterCard, Visa International et Amazon), le groupe Anonymous entre en scène. Il programme des attaques DDoS à l'encontre de tous ceux qui s'opposent à WikiLeaks. L'opération Payback, initialement dirigée contre les adversaires du piratage sur Internet, s'ouvre à de nouveaux objectifs. Les volontaires sont invités à télécharger LOIC qui, avec sa fonction « hive mind » (esprit de ruche), transforme chaque ordinateur qui en est doté en robot volontaire, afin d'organiser une attaque coordonnée. Au plus fort des attaques, on dénombrera jusqu'à 3 000 sympathisants connectés simultanément. Les chemins de WikiLeaks et d'Anonymous s'étaient déjà croisés à plusieurs reprises par le passé. Dès 2008, les divulgations liées à la scientologie et à l'ACAC avaient démontré leurs centres d'intérêt communs. Fin mars 2010, avant la sortie de la vidéo « Collateral Murder » (montrant les photographes de Reuters tués à Bagdad lors du raid aérien du 12 juillet 2007), Julien Assange se trouve à Reykjavik avec Raffi Khatchadourian, journaliste du New Yorker. Le magazine rapporte qu'au moment de partir pour la conférence de presse à New York, le fondateur de WikiLeaks lui dit « Souvenez-vous, souvenezvous du 5 novembre »35. Il fait clairement référence à Guy Fawkes, héros des Anonymous, qui tenta de faire exploser le parlement anglais en 1605. Vers le 10 décembre 2010, une partie des cyberactivistes se réclamant d'Anonymous revoient leur stratégie, peut-être suite à l'interpellation de quelques jeunes utilisateurs de LOIC. Ils annoncent l'opération Leakspin et se définissent comme « un collectif spontané qui partage le même objectif de protéger le libre flux de l'information sur Internet. ... Anonymous n'est pas toujours le même groupe de personnes : Anonymous est une idée vivante36 ». Le collectif propose aux internautes d'entreprendre leur propre travail d'enquête sur les câbles diplomatiques publiés par WikiLeaks, l'objectif étant d'accélérer le processus de découverte afin de publier des faits connus, jusque là non dévoilés aux médias. Anonymous fait ainsi appel au crowdjournalism (« crowd » signifiant « foule »), un journalisme participatif fondé sur un modèle semblable à celui de Wikipédia. Le groupe propose une autre initiative, l'opération Black Face, aux membres des réseaux sociaux. Ils sont invités à remplacer leur photo de profil par un fond noir le 18 décembre, en signe de soutien à WikiLeaks et à Julian Assange. Quelques membres d'Anonymous arpenteront également les rues pour distribuer des tracts (opération PaperStorm), mais sans grand succès. 8 Cyberactivisme Opération Payback : appel au soutien à WikiLeaks Les opérations de toutes sortes vont se multiplier tout au long du mois de décembre. Elles seront très majoritairement axées sur la défense de WikiLeaks. Malgré une baisse d'intensité due à des appels à d'autres types d'actions, quelques attaques par déni de service distribué se dérouleront fin décembre. Bank of America en sera la principale victime. De leur côté, des pirates opposés à WikiLeaks, avec Jester à leur tête, chercheront à démasquer les membres d'Anonymous participant aux attaques. Au sein du mouvement, d'autres dissensions entraînent des affrontements entre ceux accusés d'être de simples script kiddies, des jeunes pirates amateurs prêts à frapper sans discernement, et ceux qui privilégient des actions militantes plus rigoureuses contre leurs cibles. La fin de l'année 2010 sera une période de délation et de diversification. Le Zimbabwe est le premier pays à subir les foudres d'Anonymous. Examinons cet exemple pour comprendre comment sont prises les décisions au sein du groupe. A la mi-décembre 2010, l'épouse du président Robert Mugabe menace la rédaction d'un journal local, qui avait rapporté des informations de plusieurs câbles diplomatiques, selon lesquelles la première dame du pays se serait enrichie grâce à la vente illégale de diamants37. La décision d'attaquer le site du parti présidentiel est prise le soir du 28 décembre 2010 sur le canal IRC #operationBOA.AnonOps, lorsque divers participants se lancent dans une discussion concernant leur prochaine cible38. Le débat s'oriente sur des sites gouvernementaux de pays accusés de bafouer, d'une manière ou d'une autre, la liberté d'expression sur Internet. La Hongrie, la Pologne et l'Iran sont cités, mais le Zimbabwe apparaît comme la cible la plus digne d'intérêt. Il ne suffit alors que de quelques minutes à l'instigateur du projet pour créer le canal #OperationZimbabwe, via lequel les instructions de paramétrage du logiciel LOIC sont mises à disposition. En une heure à peine, un site du gouvernement zimbabwéen est rendu inaccessible et, au cours de la nuit, l'un des sites de son ministère des Finances est dégradé. Une partie du contenu de sa page d'accueil est remplacée par la devise du groupe : « We are Anonymous. We are Legion. We do not forgive. We do not forgive. Expect us. » Cyberactivisme Un script kiddie est un terme péjoratif d'origine anglo-saxonne pour désigner un néophyte, souvent jeune, qui tente de se faire passer pour un pirate alors qu'il possède des connaissances très limitées, voire nulles, des systèmes informatiques. Ces jeunes pirates amateurs sont souvent accusés d'utiliser, mais sans les maîtriser, des scripts et des programmes qu'ils téléchargent depuis Internet sans tenter de les comprendre. 9 Quinze mois d'activité Au début du mois de janvier 2011, même si l'affaire WikiLeaks fait toujours parler d'elle, les membres d'Anonymous décident d'élargir leur champ d'action. Au premier trimestre, ils encouragent le printemps arabe. Trois mois plus tard, alors qu'une certaine confusion s'installe, un groupe nommé Lulz Security entre en scène. Il mène des activités de piratage tous azimuts qui finissent par attirer l'attention. Parallèlement, d'autres attaques rappellent les débuts d'Anonymous, lorsque toute cible était bonne à prendre, plus par jeu que par idéologie. La mi-2011 voit poindre des centres d'intérêt distincts démontrant le multiculturalisme des Anonymous. Les forces de l'ordre marqueront quelques points en multipliant les arrestations aux Etats-Unis, au Royaume-Uni et aux Pays-Bas. Toutefois, elles seront elles-mêmes la cible de nombreuses attaques de la part du groupe AntiSec et de tous ceux qui les accusent de brutalité à l'occasion de rassemblements organisés par les mouvements Occupy ou des Indignés. A la fin 2011, Anonymous est bien connu des médias. Ses actions sont toujours nombreuses mais les dissensions internes, voire les manipulations, ne favorisent pas la compréhension du mouvement. Les tentatives d'actions coordonnées entre manifestants et cybermanifestants ont encore peu d'impact. Il faudra attendre les débuts de 2012 pour que de nombreux masques de Guy Fawkes fassent leur apparition dans les rues. Retraçons à présent les événements marquants de l'histoire du mouvement. Le printemps arabe Le 2 janvier 2011 débute l'opération nommée Tunisia. L'intention initiale est de protester contre le blocage du principal point d'accès au site WikiLeaks dans le pays. Les attaques ciblent généralement un Tunisien imaginaire nommé « Ammar 404 », jeu de mots sur le code d'erreur 404 retourné par les navigateurs web lorsqu'ils tentent d'accéder à l'un des nombreux sites bloqués par le régime de Ben Ali. Très vite, les objectifs s'élargissent à une contestation générale du régime en place, en lien avec les manifestations de rue qui font des dizaines de morts. Au début de 2011, les Anonymous appellent à la mobilisation pour des causes similaires en Egypte (premier message sur AnonNews le 23 janvier), en Arabie saoudite, en Algérie (20 janvier), en Libye (18 février), en Iran (9 février), à Bahreïn (17 février), en Syrie, en Jordanie, au Yémen et au Maroc (15 février). Le groupe informel de pirates RevoluSec, qui gravite autour d'Anonymous, mène des opérations de dégradation à l'encontre de plusieurs sites officiels de villes syriennes. Il crée une sorte de mémorial numérique en hommage aux victimes des affrontements représentées par une multitude de pictogrammes rouges à forme humaine. Cet exemple montre comment Anonymous donne corps, dans le monde numérique, à la réalité des affrontements sur le terrain40. Nous aborderons le cyberactivisme en Syrie, et principalement les actions du groupe Telecomix, dans la section consacrée aux cyberdissidents. HBGary Un autre fait marquant de ce premier trimestre prend sa source dans le Financial Times. Le 5 février 2011, le journal révèle qu'Aaron Barr, PDG de HBGary Federal, a l'intention de fournir au FBI des informations qu'il a collectées au sujet d'Anonymous41. Le collectif s'en prend immédiatement aux serveurs de sa société. Injection de code SQL, exploitation de mots de passe faibles et ingénierie sociale permettent le détournement de plus de 70 000 e-mails qui sont immédiatement rendus public. Le contenu de certains de ces messages déstabilisera à tel point Aaron Barr qu'il démissionnera de son poste trois semaines plus tard42. Sa société sera également fustigée dans les médias. Anonymous publie un fichier contenant ses découvertes à propos de HBGary, contenant plus de 130 noms ou pseudonymes, accompagnés de données personnelles. Lulz Security et le temps des dénonciations Depuis la fin du premier trimestre 2011, une partie du mouvement Anonymous privilégie le militantisme politique. Elle critique les actions désordonnées entreprises par une petite cellule de pirates qu'on dit proche du groupe Gn0sis. En décembre 2010, ce dernier avait infiltré Gawker Media, un groupe américain de médias en ligne entretenant depuis longtemps des relations compliquées avec Anonymous et 4chan43. A cette époque, Gn0sis est très actif et certains de ses membres sont suspectés d'être à l'origine du piratage de HBGary. Gn0sis préfère l'amusement de mauvais goût (le « lulz ») à l'acte militant. Il se réunit régulièrement sur un canal IRC bien connu, #HQ. Lorsque ses membres dialoguent avec Sabu, qui semble être leur leader, leurs pseudonymes sont Topiary, Kayla, Tflow, m_nerva et Joepie91. Le 7 mai 2011, sous la bannière Lulz Security (ou LulzSec), le groupe commence à revendiquer diverses actions de piratage. Elles sont généralement signées du slogan « for the lulz ». Deux jours plus tard, alors que la tension monte entre les deux clans, le site anonops.net/ru, principal point d'entrée de la communauté Anonymous, est piraté par Ryan, un coadministrateur proche des LulzSec. Celui-ci tenterait, selon les termes de ses adversaires, d'opérer un renversement de pouvoir au sein d'Anonops et de prendre le contrôle du site. Le 18 mai, le journaliste Barrett Brown, porte-parole officieux des Anonymous, donne une interview à Computerworld dans laquelle il dénonce l'attitude irresponsable de Ryan44. AMMAR 404 : la censure du Web en Tunisie Après la chute du président Ben Ali le 15 janvier, les Anonymous estiment avoir joué un rôle prépondérant dans la révolution du Jasmin. Ils affirment : « Nous sommes en guerre [...] une guerre qu'Anonymous est en train de gagner39 ». Une déclaration pour le moins prétentieuse. La révolution n'a pu aboutir que grâce aux manifestants tunisiens qui n'ont pas eu peur de descendre dans la rue à de nombreuses reprises. La part d'Internet dans la réussite de cette révolution, comme dans les suivantes, semble donc plutôt limitée. Les internautes qui ont ici joué un rôle l'ont fait essentiellement au travers des réseaux sociaux (Facebook et Twitter), en mobilisant et en renseignant, en temps réel, les contestataires locaux et les journalistes étrangers. 10 Cyberactivisme Pendant 50 jours, Lulz Security va défrayer la chronique. Il s'en prendra successivement à des candidats de l'émission X Factor, à des employés de la chaîne de télévision Fox News, au réseau de télévision public américain PBS (Public Broadcasting Service), au parti conservateur canadien, au géant japonais Nintendo, ainsi qu'à certains spécialistes en sécurité proches du FBI. En plus des services de police du monde entier qui tentent de localiser les membres de LulzSec, plusieurs groupes de pirates, dont Jester et les Web Ninjas, A-Team, Backtrace et TeaMp0isoN, cherchent aussi à les démasquer. Cyberactivisme 11 Cette zizanie débute avec l'affaire WikiLeaks, lorsque certains pirates critiquent l'usage du déni de service distribué et traitent avec mépris les script kiddies utilisant LOIC sans en avoir la connaissance technique. L'émergence de LulzSec ne fait que mettre en exergue la rivalité entre les hackers « vieille école » et la nouvelle génération. Cette hostilité a peut-être alimenté la propension à la délation qui s'est poursuivie tout au long de 2011. Ces révélations ont permis de dégager et de recouper des informations personnelles relatives à plus de 230 individus (noms et prénoms, pseudonymes, adresses, etc.), de même qu'une liste mettant en correspondance les pseudonymes et les adresses IP de plus de 650 utilisateurs ayant contribué aux attaques par déni de service exécutées à l'aide de LOIC. Ces renseignements font la joie des curieux. Cependant, le vrai y côtoie souvent le faux : • Faits saillants de 2010 –– Juin : le hacker Adrian Lamo dénonce le soldat Bradley Manning. –– 30 décembre : Jester, qui se dit « cyberactiviste au service du bien », divulgue des informations sur les auteurs d'attaques dirigées contre PayPal. • Le 17 juin, LulzSec fête son millième tweet. Il annonce également la fin de sa rivalité avec Anonymous. Deux jours plus tard, les deux factions lancent conjointement l'opération AntiSec. Elles accusent les gouvernements de vouloir brimer la liberté d'expression sur Internet sous couvert de politiques sécuritaires et appellent tous leurs sympathisants à passer à l'offensive contre les agences ou les gouvernements qui s'y emploient. LulzSec annonce la fin de ses opérations le 25 juin. En guise de bouquet final, il publie sur The Pirate Bay une série de fichiers sous le titre « 50 Days of Lulz ». Les nombreuses actions policières alors en cours (surtout aux Etats-Unis et au Royaume-Uni) sont sans doute largement à l'origine de ce retrait de la scène. LulzSec poursuit ses activités jusqu'en septembre. Jusqu'alors, seul son leader, Sabu, semble avoir échappé aux poursuites. Alors que le 22 septembre, il confirme par un tweet que la majorité de ses amis ont été interpellés, il faudra attendre février 2012 pour que l'on découvre le double jeu auquel il s'est livré depuis sa propre arrestation en juin 201145. Faits saillants de 2011 –– Février : publication du fichier Aaron Barr/HBGary (plus de 130 noms et pseudonymes) –– 20 mars : publication du fichier Backtrace Security (plus de 80 noms et pseudonymes) –– Mai : •Publication du fichier Ryan (environ 650 adresses IP et pseudonymes) •Dénonciations réciproques (Ryan/ev0) –– Juin à septembre : •Sites délateurs TeaMp0isoN, Web Ninjas, Jester, lulzsecExposed, etc. •Publication d'une liste A-Team Sabu confirme dans un tweet que la plupart de ses amis ont été arrêtés. Les droits écologiques Comme nous l'avons vu précédemment, Anonymous n'est pas un groupe uni derrière un objectif unique. On compte dans ses rangs des membres aux motivations variées qui, à un moment donné, s'allient parce qu'ils se reconnaissent dans l'une ou l'autre d'entre elles. Bien que les premières actions d'AntiSec en aient passionné certains, c'est autour d'un idéal écologique que se sont ensuite rassemblés d'autres cyberactivistes. Relations entre LulzSec, Anonymous et d'autres mouvements 12 Cyberactivisme Quelques jours après le tsunami et la catastrophe nucléaire de Fukushima au Japon, des membres d'Anonymous lancent l'opération Green Rights. L'objectif est de dénoncer les conséquences environnementales de l'accident et de manifester sur les réseaux sociaux contre notre dépendance à l'égard du nucléaire. Les sympathisants sont majoritairement recrutés en France, en Italie, aux Etats-Unis et en Amérique latine. Chaque attaque est précédée de la publication d'un ou de plusieurs manifestes traduits en diverses langues. Quand vient l'heure de l'attaque, un avis précisant les modalités pratiques d'utilisation de LOIC est distribué. Cyberactivisme 13 AntiSec, doxing et copwatching Alors que Lulz Security semble avoir disparu, le collectif AntiSec prend le relais. Il se dit partie intégrante d'Anonymous et veut rallier tous ceux qui souhaitent en découdre avec les forces de l'ordre, les gouvernements et les sociétés qui, de près ou de loin, entravent les libertés individuelles. Pour en savoir plus sur les actions menées sous la bannière d'AntiSec, consultez la page Wikipédia qui lui est consacrée49. Le doxing consiste à publier des photos, des coordonnées de contact, des informations d'ordre personnel et familial en représailles à une action menée par un ou plusieurs individus. Le copwatching consiste à mettre en ligne, sur des sites dédiés, des données d'identification et d'autres informations sur les forces de l'ordre. Avis en prévision de l'attaque contre Monsanto Après l'attaque de mai 2011, Anonymous s'en prend tour à tour aux sites web des compagnies d'électricité ENEL, General Electric, EDF et ENDESA46. D'autres problématiques environnementales sont ciblées dans le cadre d'une série d'attaques : • Juin : Protestation contre les fabricants d'OGM (Monsanto, Bayer) Dénonciation des excès des géants pétroliers (Exxon Mobil, ConocoPhillips, Canadian Oil Sands Ltd., Imperial Oil, The Royal Bank of Scotland, Canadian Association of Petroleum Producers) • Décembre : Opposition aux liaisons ferroviaires dans des zones naturelles préservées (train à grande vitesse entre la France et la Suisse, ligne Lyon-Turin) • Décembre : Protestation contre le comportement des sociétés minières vis-à-vis des habitants des futures zones d'exploitation (au Guatemala et au Pérou) • De décembre 2011 à janvier 2012 : Défense du peuple amazonien face à la construction du barrage sur la rivière Xingu • Juillet : Autres opérations Au cours du deuxième trimestre 2011, Anonymous mène deux autres opérations. En mai, avec l'opération Blitzkrieg, il cible des sites web néonazis et d'extrême droite47. L'opération SaveKids vise quant à elle à l'identification et à la dénonciation des adeptes de pornographie infantile48. Illustration d'un article de presse publié en décembre 201150 En 2011, l'arme de prédilection d'AntiSec est le doxing (terme dérivé de « dox » ou « docs », abréviation de « documents », qui fait référence à la collecte et la divulgation d'informations au sujet d'entités ou d'individus en utilisant des sources sur Internet). Sous des noms de code tirés d'insultes dirigées contre les forces de l'ordre, le collectif divulgue par vagues des données volées sur les serveurs des services de police ou sur ceux de sociétés travaillant directement avec eux. Principales attaques par doxing Ch*** la Migra (contre les services d’immigration) Date Cibles 24 juin 2011 Ministère de la Sécurité publique de l’Arizona 29 juin 2011 Ministère de la Sécurité publique de l’Arizona 1er juillet 2011 Arizona Fraternal Order of Police 2 septembre 2011 Texas Police Chiefs Association F*** FBI Friday (contre les sociétés affiliées au FBI) 14 Cyberactivisme Date Cibles 5 juin 2011 Infragard 8 juillet 2011 IRC Federal 29 juillet 2011 ManTech 19 août 2011 Vanguard Defense Industries 18 novembre 2011 Fred Baclagan, enquêteur spécialisé dans la criminalité informatique 3 février 2012 Service de police de Boston Cyberactivisme 15 Des individus isolés (souvent des policiers) sont aussi victimes de doxing. Le 24 septembre 2011, un policier new-yorkais pulvérise du gaz lacrymogène sur deux manifestantes. Deux jours plus tard, de nombreuses informations le concernant, lui, et sa famille, sont diffusées sur Internet. Le 18 novembre, sur le campus Davis de l'Université de Californie, un officier de police envoie du gaz au poivre sur des manifestants à l'occasion d'un sit-in. Très vite, son nom et ses données personnelles sont rendus publics. Le doxing ne se limite toutefois pas aux Etats-Unis. Le 26 septembre, la branche autrichienne d'Anonymous AnonAustria publie des informations personnelles sur près de 25 000 policiers autrichiens51. En France, deux jours plus tard, le ministère de l'Intérieur dépose une plainte en diffamation contre un site web (CopwatchNord-idf.org) qui donne une image négative de la police en diffusant images et témoignages de supposées bavures, assortis de commentaires injurieux52. Le 6 août, Anonymous annonce deux compromissions de données en Amérique du Sud. L'une concerne la police fédérale brésilienne (8 Go de données diffusées) et l'autre, les informations personnelles de 45 000 policiers équatoriens53. La riposte des autorités policières Fin 2010, au terme de la vague d'attaques par déni de service distribué lancées dans le cadre de l'opération Payback, les forces de l'ordre tentent de débusquer les membres d'Anonymous qui contrevenaient à la loi. Les enquêtes, perquisitions et arrestations ont surtout eu lieu en juillet 2011, puis en février 2012. Le tableau suivant résume les initiatives prises récemment par les forces de l'ordre, sur foi d'articles de presse publiés entre décembre 2010 et avril 2012. Nombre approximatif d'enquêtes, de perquisitions et d'arrestations aux cours des 15 derniers mois Pays Total Moins de 18 ans De 18 à 28 ans Plus de 28 ans Age inconnu Etats-Unis 107 5 24 8 70 Turquie 32 8 Italie 15 5 10 Royaume-Uni 16 6 9 Argentine 10 Espagne 7 1 Chili 6 2 4 Pays-Bas 6 1 1 Colombie 5 France 3 1 Grèce 3 2 Pologne 1 24 1 10 6 4 5 1 1 1 1 Le nombre d'actions judiciaires est plus important aux Etats-Unis que partout ailleurs. Cela ne signifie pas pour autant que le pays compte un pourcentage plus élevé de cyberactivistes dans sa population, mais plutôt que ses forces de l'ordre se sont attaquées au problème en partant des ordinateurs sur lesquelles LOIC était installé et non pas des serveurs de commande IRC. Outre-Atlantique, des utilisateurs de LOIC sont interpellés et inculpés, alors qu'ailleurs, comme en France, seuls des maîtres de robots commandant leur botnet à l'aide de l'outil sont mis en examen. Plusieurs membres importants, dont certains liés à LulzSec, ont été identifiés en Grande-Bretagne, à savoir notamment ColdBlood, Peter, Ryan, tFlow, Topiary, Nerdo, NikonElite et Kayla. Les 32 arrestations effectuées en Turquie concernaient des membres qui avaient selon toute vraisemblance participé à une opération du 10 juin 2011 à l'encontre de divers sites gouvernementaux du pays54. Ils contestaient la mise en place d'un large filtre de censure présenté par les autorités comme un moyen de « protéger » la jeunesse du pays. En février 2012, Interpol lance l'opération Unmask et mène une série d'arrestations en Espagne et en Amérique latine. Les personnes interpelées sont soupçonnées d'avoir lancé des attaques contre les comptes Facebook et Twitter de personnalités colombiennes et des sites gouvernementaux colombiens (juillet 2011) ainsi que contre la compagnie chilienne d'électricité Endesa (mai 2011). OpCartel Dans une vidéo mise en ligne le 6 octobre 2011, une faction mexicaine d'Anonymous réclame la libération d'un des leurs, enlevé par une organisation criminelle du pays connue sous le nom de « Los Zetas ». Le rapt se serait produit entre le 20 et le 29 août, alors que la victime distribuait des tracts pour l'opération PaperStorm dans la ville de Veracruz. Pour appuyer leur demande, les Anonymous annoncent qu'ils dévoileront l'identité de journalistes, de policiers et de chauffeurs de taxi liés au cartel le 5 novembre si leur ami n'est pas relâché avant cette date55. L'organisation Los Zetas est connue pour sa violence. Elle n'hésite pas à assassiner quiconque se met en travers de son chemin, qu'il s'agisse de policiers ou de journalistes. A cette époque, elle tente aussi de bâillonner les internautes qui utilisent les réseaux sociaux pour les combattre. Le 13 septembre, les corps de deux internautes sont retrouvés sous un pont de la ville de Nuevo Laredo, près de la frontière avec les Etats-Unis56. Le 24 du même mois, le cadavre mutilé de la rédactrice en chef d'un quotidien de la ville est découvert à proximité, un message affirmant qu'elle a été assassinée en représailles à la publication d'informations à propos du crime organisé via les réseaux sociaux57. Un quatrième meurtre sera commis le 9 novembre. Après l'ultimatum, des messages contradictoires circulent sur Internet. Certains appellent à la prudence, alors que d'autres affirment que l'opération est annulée par crainte de représailles. Los Zetas menacent en effet de tuer dix personnes pour chaque nom révélé. Pourtant, malgré la réputation du cartel, Anonymous annonce le 3 novembre que la personne kidnappée a été libérée58. Tandis que le projet de divulgation est annulé59, Barrett Brown, porte-parole du collectif et l'un des rares à ne pas porter le masque, menace sur YouTube de poursuivre l'opération60. L'affaire a-t-elle été édulcorée ou les Anonymous ont-ils réussi à faire plier de dangereux criminels ? Impossible à dire. Anonymous dans la rue Le masque de Guy Fawkes, emblème des Anonymous et de certains mouvements Occupy, fait la première fois sont apparition dans la rue en 2008, à l'occasion d'une manifestation contre la scientologie. Les manifestants cachaient leur visage pour éviter d'éventuelles représailles. Certains membres d'Anonymous veulent transposer leurs protestations numériques dans le monde réel. Début 2011, certaines de leurs manifestations sur la place publique sont des prolongements directs d'actions démarrées sur la Toile (en faveur de WikiLeaks, par exemple). Ces tentatives ne mobilisent toutefois que très peu de contestataires. D'autres lancent des opérations nommées PaperStorm, au cours desquelles ils distribuent des tracts dans la rue pour attirer l'attention du public. Cependant, ces appels à la mobilisation n'ont jusqu'ici reçu que peu d'écho. Le manque de coordination a fait qu'en février 2012, des actions PaperStorm se sont déroulées dans plusieurs pays (Allemagne, Espagne et Canada), mais à des jours différents. Une autre faction cherche à agir de concert avec les mouvements Occupy et des Indignés. L'opération BART, du nom de la société de transports ferrés de la région de la baie de San Francisco, est emblématique de ces collaborations. Elle a pour origine la décision de l'entreprise de brouiller les communications sans fil pour gêner l'organisation de manifestations d'usagers mécontents et autres contestataires. Alors que les habituelles attaques se déroulent sur Internet, 200 personnes portant le masque à l'effigie de Guy Fawkes descendent dans la rue. Le mouvement international des Indignés a vu le jour en Espagne en mai 2011. Il rassemble des individus qui descendent périodiquement dans la rue pour protester pacifiquement contre le système économique et financier des pays industrialisés. Aux Etats-Unis, ce mouvement est connu sous les appellations « Occupy Movement », ou « The 99% ». Tout comme Anonymous, ces mouvements sont sans leader. Ils se veulent égalitaires et refusent toute autorité au sein de leurs rangs. A notre connaissance, une seule opération a été menée par la police italienne, laquelle a permis d'identifier un membre répondant au pseudonyme de Phre. 16 Cyberactivisme Cyberactivisme 17 Anonymous dans la rue Rue 18 décembre 2010 Opération PaperStorm (en soutien à WikiLeaks) 20 mars 2011 Journée internationale d'action pour le soutien à Bradley Manning 13 août 2011 Opération PaperStorm Revival. Le motif de contestation (soutien à WikiLeaks, arrestation de membres d'Anonymous, etc.) est laissé à l'appréciation des distributeurs. Du 13 au 15 août 2011 Sit-in devant la station BART (Bay Area Rapid Transit) du Civic Center de San Francisco Opération Bradical, attaque par déni de service distribué contre Quantico Opération BART Du 17 au 24 septembre 2011 Day of Rage (17 septembre) Day of Vengeance (24 septembre) 2 octobre 2011 Invade Wall Street Occupy Wall Street 15 octobre 2011 26 octobre 2011 Aux Etats-Unis,« Occupy Wall Street » a été lancé par le réseau d'activistes anti-capitalistes Adbusters, avec le slogan suivant (traduction libre) : « La seule chose que nous avons en commun, c'est que nous sommes les 99 % de la population qui ne tolèrent plus la cupidité et la corruption des 1 % restant ». Internet Protestation mondiale Occupy World Occupy Oakland OpUprise C'est le 15 octobre 2011 qu'a lieu la première rencontre réussie entre les Anonymous et le groupe « Les 99 % ». A la différence de la branche AntiSec et des actions controversées qu'elle a souvent menées, ces militants cherchent à s'unir avec tous ceux qui sont animés de motivations politiques. Ils veulent également effacer l'image du pirate et du plaisantin qui pourrait leur nuire dans les médias. Face aux lois renforçant la lutte contre le piratage (SINDE en Espagne, ACAC, SOPA et PIPA aux Etats-Unis, HADOPI et LOPPSI en France, C-30 au Canada, etc.), les Anonymous ont, par plusieurs fois, appelé leurs sympathisants à défiler. Le 11 février puis le 25 février 2012, ils sont descendus dans les rues de nombreuses grandes villes d'Europe. Manipulation et pluralisme Le mouvement Anonymous n'ayant ni leader, ni organe officiel (unique) de communication, chacun peut proposer une opération en la présentant comme une proposition de son groupe. A plusieurs reprises, des actions ont été annoncées et ont vu leur authenticité rapidement contestée. Selon les cas, ces appels ont été taxés de mauvaise plaisanterie, de manipulation, de désinformation ou de fruit de dissensions internes. Il s'en est suivi une diffusion d'informations contradictoires dans les médias, les uns blâmant Anonymous de choisir ses actions sans discernement, les autres faisant paraître un démenti (dont par ailleurs la source ne pouvait pas être vérifiée). Un des exemples les plus emblématiques dans ce domaine a été la publication, le 9 aout 2011, d'une vidéo YouTube annonçant la fin de Facebook pour le 5 novembre 2011 (anniversaire de l'échec de la conspiration de Guy Fawkes). Le réseau social y était accusé de ne pas respecter la vie privée des utilisateurs. Malgré l'arrivée rapide de démentis par des membres d'Anonymous, la rumeur ne s'est tue que le 6 novembre, lorsque de toute évidence aucun événement ne s'était produit. A l'opposé, en décembre, des communiqués affirment tout et son contraire dans l'affaire du piratage de Stratfor, lorsque les données de milliers de comptes (dont ceux de l'ancien secrétaire d'Etat américain Henry Kissinger) sont dérobées afin d'effectuer des virements bancaires en faveur d'œuvres caritatives61. En février 2012, alors que WikiLeaks commence à publier les correspondances dérobées à cette occasion, force est de constater qu'une branche d'Anonymous est impliquée. L'opération aurait même pu être manipulée par le FBI62. Il semble donc qu'une certaine dose de scepticisme est de rigueur face aux menaces exprimées en ligne, telles que celles proférées contre le réseau électrique des Etats-Unis63 ou les serveurs racines DNS (février 2012). Dans ce dernier exemple, l'idée d'une paralysie temporaire du Web est une proposition en rapport avec l'opération Global Blackout démarrée en novembre 2011 et visant à engager une campagne massive de protestation contre la SOPA. Annoncée pour le 31 mars 2012, l'attaque DDoS utilisant la méthode dite de « Reflective DNS Amplification » (rebond du flux de requêtes DNS) voit se télescoper les ordres et les contrordres. Source : occupywallst.org Carte des manifestations du 11 février 2012 Démenti de l'opération Global Blackout par deux canaux d'information d'Anonymous 18 Cyberactivisme Cyberactivisme 19 Opération Megaupload Le 19 janvier 2012, la fermeture du site d'hébergement de logiciels piratés Megaupload, au centre des débats sur l'Accord commercial anticontrefaçon (ACAC), entraîne, selon Anonymous, « la plus grande attaque DDoS de l'histoire d'Internet64 ». De nombreux sites subissent des attaques par déni de service distribué. Avec plus de 5 000 participants présumés, l'attaque frappe de nombreux sites : ministère américain de la Justice (doj.gov), Universal Music (universalmusic.com), Motion Picture Association of America (mpaa.org), Recording Industry Association of America (riaa.com), United States Copyright Office (copyright.gov), Broadcast Music Incorporated (bmi.com), HADOPI (hadopi.fr), et d'autres. Quelques sympathisants du mouvement Anonymous sont interrogés sur les raisons qui les ont poussés à soutenir Kim Dotcom, le patron de Megaupload, que beaucoup considèrent plus comme un cybercriminel avide d'argent que comme un défenseur de l'Internet libre et gratuit. Interviewé par le journal français Le Nouvel Observateur, Vador-M, un Anonymous francophone résume ainsi la pensée de ses collègues : « En fermant Megaupload, ils nous ont privé d'une liberté, nous nous devions de réagir. La motivation première n'est pas la défense de Megaupload, mais bien la lutte contre la censure. Nous ne cherchons pas à défendre Kim Dotcom, suspecté d'avoir monté une mafia. Mais Megaupload était plus qu'une société, c'était une institution. » Communications Les réseaux sociaux et les sites web Le grand nombre de sites web et de comptes sur les réseaux sociaux se revendiquant du groupe Anonymous parasite fortement le mouvement et le rend difficile à appréhender. Comme nous l'avons déjà signalé, les invitations à l'action proposées par certains sont immédiatement démenties par d'autres. Principaux sites web consultés pour suivre l'actualité d'Anonymous : anonops.blogspot.com youranonnews.tumblr.com • anoncentral.tumblr.com • anonnews.org • • IRC IRC (Internet Relay Chat) est le principal moyen de communication des sympathisants et des membres les plus actifs du groupe. Il s'agit d'un protocole de communication instantanée en mode texte qui utilise des canaux dédiés pour les discussions en groupe. De plus, il autorise la prise de contrôle du logiciel LOIC pour les attaques par déni de service distribué. Le réseau le plus actif est AnonOps. La connexion peut être établie par un webchat ou, de manière plus sécurisée, par un client IRC (XChat or mIRC, par exemple). En janvier dernier, un juge français a ordonné à un sympathisant d'Anonymous de cesser d'offrir de fonctionnalités webchat aux internautes qui tentaient d'accéder aux canaux d'AnonOps. Le site est désormais fermé mais il en existe bien d'autres, notamment webchat.anonops.com, webchat.power2all. com et search.mibbit.com qui permettent à de nombreux sympathisants de discuter avec AnonOps via IRC. Un webchat est une application Web (protocole HTTP) qui permet à un internaute de dialoguer sur les canaux IRC sans logiciel client. Les messages texte sont affichés par le navigateur sur une page web qui doit périodiquement rechargée pour être actualisée. En particulier, les comptes Twitter attirent nombre de curieux, de sympathisants, de spécialistes de la sécurité et, sans aucun doute, d'enquêteurs publics ou privés. Au cours de l'été 2011, celui de LulzSec (The Lulz Boat) comptait plus de 350 000 abonnés. Lorsqu'il a cessé d'émettre en juillet 2011, c'est celui de son ancien leader, Sabu, qui a pris le relais (@anonymouSabu, 43 000 abonnés au 1er mars 2012). Pourtant, le compte de Sabu ne représente qu'une faction du groupe. Les principaux comptes Twitter utilisés pour suivre l'actualité du groupe Anonymous sont les suivants : • @AnonOps — We are fighters for internet freedom (Nous luttons pour la liberté d'Internet) — We are the #AntiSec embassy (Nous sommes l'ambassade #AntiSec) • @YourAnonNews • @AnonymousPress • @Anon_Central — Anonymous Operations • @AnonymousIRC Ces comptes très fréquentés ont reçu un afflux d'inscriptions à l'occasion de la fermeture de Megaupload. Annonce de l'interruption de la redirection d'un site vers le serveur IRC d'AnonOps Il est possible d'accéder à AnonOps à l'aide d'un client IRC via les adresses suivantes : irc.anonops.li (désormais inaccessible) irc.anonops.bz • irc.anonops.pro • irc.anonops.su • • Sur les forums de discussion, l'URL de connexion est souvent accompagnée d'un numéro de port (par exemple, irc.anonops.li/6697) différent du port IRC par défaut (6667). Cette option invite les internautes à utiliser un port SSL65 pour sécuriser la connexion en la chiffrant (pour autant que le client prenne en charge SSL). Statistiques Twitter en 2011–2012 pour certains comptes Anonymous 20 Cyberactivisme Le réseau d'AnonOps compte de nombreux canaux dédiés aux actions en cours, aux discussions et aux informations techniques. Certains participants jouent un rôle majeur sur plusieurs canaux tandis que d'autres ne participent qu'à une ou deux discussions IRC à la fois. Ces opérateurs (« ops ») détiennent un grand pouvoir. Responsables du maintien de l'ordre, ils peuvent renvoyer ou bannir les personnes jugées indésirables. Dans le cas d'AnonOps, il est interdit, par exemple, de se connecter et se déconnecter en permanence, de prendre pour cible les médias ou de faire l'apologie de la violence66. Cyberactivisme 21 Certains opérateurs ne sont là que pour intervenir sur l'infrastructure tandis que d'autres participent à la plupart des actions politiques menées par Anonymous. Même s'ils ne sont pas seuls à décider des plans d'action ou des opérations, leur opinion compte beaucoup. Outils de déni de service distribué (DDoS) Pour mener des attaques DDoS, les membres d'Anonymous ont recours à divers outils Internet. Le plus connu d'entre eux est LOIC (Low Orbit Ion Canon), un outil initialement développé pour tester les réseaux. Très convivial, il permet à des utilisateurs sans compétences techniques particulières de prendre part à des attaques depuis leur ordinateur. Dès ses premières versions, LOIC a proposé trois types d'attaques : le matraquage (flood) HTTP, le matraquage TCP et le matraquage UDP. Ces attaques peuvent être lancées à partir du poste de travail de l'utilisateur en indiquant simplement le site à attaquer, la puissance de l'attaque (faible, moyenne ou forte) et en cliquant sur « Fire! » (Feu). Lors de l'opération Payback, lancée en décembre 2010, nous avons vu apparaître des versions modifiées de LOIC (version 1.1.1.3 de l'auteur NewEraCracker), capables de prendre en charge IRC. Ces versions permettent d'associer LOIC à un canal et de le mettre en mode automatique afin qu'il attende les instructions. En fait, ces programmes représentent les premiers réseaux de robots volontaires. LOIC peut être aussi exécuté en mode furtif, c'est-à-dire sans fenêtre apparente et sans indication dans la barre des tâches. Il permet ainsi de lancer secrètement des instances depuis des ordinateurs publics en libre accès. Un matraquage, ou flood en anglais, est une action généralement malveillante qui consiste à envoyer une grande quantité de données inutiles dans un réseau afin de le rendre inutilisable. Avec LOIC, il est possible de mener des attaques en inondant le serveur de paquets TCP, de paquets UDP ou de demandes HTTP. Principaux canaux d'AnonOps et thèmes de discussion (capture faite le 8 mars 2012) Anonymat Pour dissimuler leur identité, de nombreux partisans d'Anonymous utilisent des outils dédiés, dont TOR (The Onion Router). Ce logiciel de routage utilise un proxy pour faire passer le trafic Internet par plusieurs nœuds, ce qui complique singulièrement l'identification de l'utilisateur et la récupération de son adresse IP. Il est bon de rappeler que TOR a pour but d'assurer l'anonymat du trafic et non son chiffrement de bout en bout. Cela dit, TOR n'est pas aisément compatible avec le réseau IRC d'AnonOps. Ceux qui souhaitent l'utiliser pour se connecter doivent au préalable définir un mot de passe et fournir un hachage de ce mot de passe à un opérateur de canal #help67. Ils peuvent ensuite se connecter à l'aide d'une URL (dont le domaine se termine par .onion) spécifique au réseau TOR68. D'autres serveurs liés à Anonymous et prévus pour d'autres canaux acceptent les connexions TOR. C'est le cas d'AnonNews (irc.cryto.net) par exemple. Considéré par Anonymous comme un « réseau Internet au sein d'Internet69 », I2P (Invisible Internet Project) connaît un certain succès auprès des cyberactivistes. Cet outil est un protocole d'échange anonyme doté d'une fonction de chiffrement de bout en bout qui peut être utilisé par de nombreuses applications présentes sur le Net « normal ». I2P permet, entre autres, la navigation web sur des sites spécifiques (domaines .i2p), des échanges de fichiers entre utilisateurs I2P et des discussions IRC anonymes. Comme leur identité ne peut pas rester secrète sur le reste d'Internet (lorsqu'ils utilisent HTTP ou HTTPS), de nombreux internautes soucieux de préserver leur anonymat installent I2P et TOR sur leur ordinateur en créant plusieurs profils pour le navigateur Firefox. Il existe d'autres solutions destinées aux échanges anonymes, et comme les précédentes, leur utilisation ne se limite pas au groupe Anonymous. Avec Commotion Wireless, n'importe quel ordinateur équipé d'une carte WiFi peut faire partie du réseau et accéder à Internet via un tiers. Ces nœuds peuvent également servir de relais de connexion à Internet pour un autre ordinateur70. Avec Freenet71, un réseau anonyme distribué, chiffré et (semi-)privé, il est possible de rejoindre des Freesites, de participer à des groupes de discussion, d'échanger des messages via Thunderbird ou encore d'échanger et de partager des fichiers. Freenet se comporte comme un réseau « Darknet », à savoir un réseau qui permet à l'internaute de limiter l'accès à des amis connus. 22 Cyberactivisme LOIC version 1.1.1.2572 D'autres versions du programme LOIC sont apparues depuis l'opération Payback. JS LOIC, ou LOIC Mobile, permet aux novices de participer à une attaque en se connectant simplement à une page web depuis leur navigateur, qu'ils laissent ouverte à l'heure fixée pour l'attaque. Le code JavaScript ouvre ensuite les pages web et lance une série de demandes HTTP pour saturer les ressources du serveur. C'est ainsi que des membres d'Anonymous s'en sont pris, en août 2011, au site du Vatican à l'occasion des Journées mondiales de la jeunesse (Opération Pharisee)73. Un code similaire invitant les participants à choisir une cible dans une liste prédéfinie est apparu après la fermeture de Megaupload. Cyberactivisme 23 Telecomix L'attention portée aux soulèvements arabes a fait naître chez certains cyberactivistes une conscience politique plus affirmée. C'est le cas du groupe Telecomix, créé en avril 2009 en Suède et caractérisé par l'absence de leader et de hiérarchie. Ses membres disent fonctionner sur le concept d'une certaine démocratie de l'action, appelée do-ocracy. « Il suffit d'avoir des idées, et puis d'autres peuvent rejoindre, aider. Personne n'a une vue d'ensemble de tous les projets », expliquent fo0 et Menwe78. Selon Okhin, « crypto-anarchiste » et autre agent de Telecomix, le groupe compte 250 à 300 membres. « Nous habitons dans le réseau. Nous vivons par et pour le réseau. Donc s'il est attaqué, nous allons le défendre79. » En janvier 2011, Telecomix a réussi à rétablir partiellement l'accès Internet en Egypte alors que le gouvernement Moubarak avait coupé Internet à ses vingt millions d'internautes. Telecomix aurait mis en place des lignes téléphoniques reliées à de vieux modems 56K puis diffusé l'information via Facebook et Twitter80. Le groupe a renouvelé l'opération en février 2011 en Lybie. La do-ocracy, contraction de « democracy » et du verbe anglais « to do » (faire) peut se traduire par démocratie par l'action. Il s'agit d'une forme de structure souple au sein de laquelle les individus s'attribuent eux-mêmes des tâches qu'ils réalisent en en assumant l'entière responsabilité. Interface de JS LOIC74 Une version de LOIC pour Android a vu le jour il y a peu. Appelée « LOIC para Android by Alfred », cette version sévit actuellement en Amérique Latine75. HOIC est un autre outil utilisé pour lancer des attaques par déni de service. Limité au seul matraquage HTTP, il possède toutefois des « booster scripts76 », à savoir des fichiers de configuration qui permettent d'ajouter un nombre plus élevé de demandes HTTP et de mieux les dissimuler au sein du trafic normal. Anonymous est parfois soupçonné d'utiliser d'autres outils d'attaque, notamment Apache Killer (écrit par Kingcope), Slowloris (écrit par RSnake), r-u-dead-yet ou encore ZapAttack (sur Mac OS X). Toutefois, LOIC et ses descendants (JS LOIC, WEBLOIC) restent apparemment les logiciels les plus prisés par les auteurs d'attaques. Certains articles parus dans les médias ont mentionné le projet RefRef77 mais il s'agissait apparemment d'un canular. Cyberdissidents La seconde branche du cyberactivisme regroupe les cyberdissidents, ou les cyberindignés. Alors qu'Anonymous défend surtout la liberté d'expression et d'échange sur Internet, les cyberindignés, ancrés dans le monde réel, considèrent Internet comme un outil capable de les aider dans leur combat pour une société plus libre. Dans nos pays démocratiques, leurs actions sont moins médiatisées car elles se situent souvent à la frontière de la légalité. Leur lutte est généralement bon enfant. Elle se limite souvent à un usage militant des réseaux sociaux qui deviennent un outil de communication et de propagande. Lorsque ce combat politique est mené à l'encontre d'un régime totalitaire ou extrémiste, ces activistes sont souvent qualifiés de cyberdissidents. Lors de leurs actions, ils ne dissimulent pas leur identité par jeu ou par idéologie mais pour échapper à une répression violente qui s'exercerait contre eux s'ils étaient reconnus. Bien qu'il faille faire une distinction entre cyberdissidents et cyberindignés d'une part et le mouvement Anonymous d'autre part, la frontière est parfois ténue entre les deux groupes. Certains cyberdissidents signent leurs actes en se réclamant d'Anonymous tandis que des membres d'Anonymous lancent parfois des opérations ponctuelles pour soutenir le mouvement des Indignés. 24 Cyberactivisme Extrait du message de Telecomix au peuple égyptien Lorsque la guerre civile s'est intensifiée en Syrie, les activistes de Telecomix ont également cherché à soutenir les opposants au régime, au risque de recevoir des menaces. L'opération a débuté en août 2011 par l'envoi en masse d'un message adressé aux internautes syriens. Ce message expliquait comment contourner la censure des activités en ligne dans le pays. Dans la nuit du 4 au 5 septembre, une grande partie du réseau Internet syrien a été détournée par le piratage simultané de tous les routeurs de la marque TPLink81. Les internautes ne pouvaient accéder qu'à une seule page proposant un kit de survie à l'usage des opposants à Bachar Al Assad. « Vos activités sur Internet sont surveillées. Des outils existent pour échapper à cette surveillance », expliquait une partie de la page, rédigée en anglais et en arabe. Le kit contenait des extensions de sécurité (plug-ins) pour Firefox, un routage en oignon (TOR), un logiciel de messagerie instantanée sécurisé (hushmail), un service de VOIP concurrent de Skype (Mumble), un système de chiffrement des conversations (Pidgin avec le plugin Off-The-Record), un client IRC (Xchat), et bien entendu, un lien vers le forum de discussion de Telecomix82. Ce package de 60 Mo contenait également des consignes de sécurité élémentaires pour éviter de révéler des informations personnelles sur Internet. En mars 2012, les opérations de soutien se poursuivaient encore. Cyberactivisme 25 Le 14 juillet, un groupe d'activistes français contrefait le site web du ministère des Affaires étrangères pour montrer une fausse porte-parole du Ministère annonçant des mesures d'aide pour Haïti. • Le 24 novembre 2011, ClimateGate II : un groupe de pirates a divulgué plus de 5 000 e-mails qui semblent confirmer que certains scientifiques sont en mission politique et non dans une démarche de recherche de la vérité en ce qui concerne le changement climatique85. • Le 1er décembre, WikiLeaks dévoile les Spy-Files, près de 1 100 documents émanant de fabricants et portant sur la surveillance et l'interception des télécommunications86. Ces nouvelles révélations montrent qu'il existe un marché juteux du cyberespionnage et de la cybersurveillance de masse à l'échelle nationale. Ceux qui dénoncent ces pratiques affirment que ces produits, développés pour l'essentiel dans les démocraties occidentales, sont ensuite vendus un peu partout, notamment à des dictatures toujours en place ou mises à mal à l'occasion des printemps arabes. • Message au peuple syrien (5 septembre 2011) Telecomix fonctionne comme une assistance web internationale pour les populations, qui s'autosaisit en cas de coupure ou de limitation de l'accès Internet. Ceux qui apprécient les actions menées par ce groupe précisent que « Telecomix ne fait pas dans le DDoS, Telecomix ne pirate pas83. » A Genève, leurs bénévoles dispensent des formations en cryptographie à l'ONG Reporters sans Frontières. Mais dans un pays démocratique tel que la France, ceux-ci mènent parfois des actions qui franchissent les limites de la légalité. C'était le cas lorsqu'ils ont dupliqué le site « Copwatch » fermé par les autorités françaises. Autres faits d'armes Alors qu'Anonymous sortait seulement de l'ombre au cours du dernier trimestre 2010, les protestations virtuelles et les attaques à connotation politique s'étaient multipliées dès le début de cette même année. Certains de ces actes sont à rapprocher des actions lancées par une organisation telle que Greenpeace, qui conteste souvent les lois nationales ou internationales pour sensibiliser l'opinion. Dans le cyberespace, les initiatives suivantes, malgré leur caractère illégal, ont trouvé un écho favorable et semblaient justifiées aux yeux de certains. En janvier 2010, en Turquie, un pirate modifie le système informatique gérant l'appel à la prière, retransmis vers 170 mosquées du pays. Les messages d'origine sont remplacés par les chansons d'un artiste décédé en 1996, connu pour son rôle de pionnier dans la reconnaissance de l'homosexualité en Turquie. • Février : en Lettonie, le groupe 4ATA (Fourth Awakening People's Army) révèle avoir mis la main sur des millions de déclarations fiscales. Il en divulgue un certain nombre afin de dénoncer la corruption qui gangrène le pays. Le principal suspect, un chercheur en intelligence artificielle de l'Université de Riga, est identifié en mai. • En avril, un professeur de l'Université de Californie (San Diego) lance une protestation virtuelle — en l'occurrence un appel à participer à une attaque DDoS — à l'encontre du site de son université afin qu'elle s'ouvre à un plus grand nombre d'étudiants défavorisés84. Page d'accueil des Spy-Files avec des informations concernant la France • • Alors que les manifestations contre la hausse du prix du pétrole secouent le Nigeria, des cyberactivistes dégradent un site de l'armée nationale le 16 janvier 2012. Le message laissé sur le site était le suivant : « Leave innocent protesters ALONE » (Ne vous en prenez pas à des manifestants innocents)87. Patriotes et cyberguerriers Alors que les cyberindignés et cyberdissidents de la mouvance Anonymous défendent la liberté d'expression et prennent la défense de minorités et de populations qui cherchent à gagner leur liberté, d'autres groupes se disant proches de leurs gouvernements, souvent autoritaires et religieux, réagissent à ce qu'ils qualifient d'ingérence. A la différence d'Anonymous, ces « patriotes », même s'ils font eux aussi du cyberactivisme, ont un comportement souvent proche de l'intégrisme. Qu'ils se présentent comme des nationalistes russes, des patriotes chinois, indiens ou pakistanais ou des défenseurs d'Israël et de la Palestine, tous ces groupuscules mènent sur le Net des actions de guérilla à l'encontre de tous ceux qu'ils considèrent comme des ennemis. Regroupés en (pseudo) cyberarmées, ils mettent en place des réseaux de robots volontaires ou mènent des actions de dégradation et de destruction contre les messages ou les actions des dissidents et de leurs adversaires politiques. 26 Cyberactivisme Cyberactivisme 27 Réaction contre Anonymous En juin 2011, Anonymous a lancé l'opération Turquie pour soutenir la jeunesse qui protestait contre la mise en place d'une censure d'Internet. Pendant quelques jours, les sites gouvernementaux ont été inaccessibles à la suite des attaques par déni de service distribué menées depuis l'extérieur du pays par un réseau de robots LOIC. Le 16 juillet, en guise de riposte, le groupe Akincilar dégradait la page d'accueil d'AnonPlus, le nouveau site que certains membres d'Anonymous venaient de mettre en place suite à leur bannissement de Google+. Les actions de soutien au peuple syrien ont déplu aux partisans de Bachar Al-Assad. Le 9 août, en représailles à la dégradation du site Internet du ministère syrien de la Défense, un groupe se proclamant la « cyberarmée syrienne » piratait le site Anonplus par empoisonnement du cache DNS. A la place de la page habituelle, les internautes pouvaient voir des photos de soldats morts accompagnées d'un message laissant sous-entendre qu'en soutenant les opposants au régime de Bachar Al-Assad, Anonymous soutenait les Frères musulmans88. TeaMp0isoN TeaMp0isoN s'est d'abord fait connaître pour sa virulente opposition à LulzSec et à Anonymous avant d'annoncer par la suite un rapprochement avec AntiSec. Depuis 2010, les trois principaux membres du groupe, dont son leader TriCk, n'ont jamais caché leurs opinions politiques et religieuses. Ils ont souvent co-signé leurs attaques avec le groupe Mujahideen Hacking Unit lorsqu'ils défendent la cause palestinienne. Lorsqu'ils ils s'en prennent à des sites indiens, ils se présentent également comme des membres de la Pakistan Cyber Army (PCA) ou de la ZCompany Hacking Crew. Les messages communiqués au cours de ces attaques nous incitent à les classer dans la catégorie des cyberarmées. Quelques faits d'armes du groupe : En juin 2011, en représailles à l'intervention militaire en Irak, TeaMp0isoN publie le carnet d'adresses et diverses données privées de Tony Blair, ex-Premier ministre britannique. • En août, lorsque Research in Motion, le fabricant des téléphones BlackBerry, annonce sa coopération avec la police pour mettre un terme aux émeutes qui secouent la Grande-Bretagne, TeaMp0ison dégrade le blog de la société et menace de publier des informations confidentielles sur les employés si la société s'entête à vouloir divulguer des informations sur les utilisateurs de ses téléphones. A cette occasion, TriCk publie un message où il affirme son soutien aux émeutiers aux prises avec la police et le gouvernement89. • En août, le groupe pirate un forum de discussion de la NASA et divulgue les détails du compte administrateur. • En novembre, TeaMp0isoN publie des informations d'accès à des milliers de comptes du personnel du Programme des Nations Unies pour le développement (PNUD). • Toujours en novembre, TeaMp0isoN annonce qu'il s'associe avec Anonymous pour créer p0isAnon, responsable de l'opération Robin Hood en solidarité avec le mouvement Occupy Wall Street90. Dans une vidéo, un porte-parole déclare que le but de l'opération est de s'emparer de cartes de crédit et de verser des dons aux « 99 % » ainsi qu'à divers organismes caritatifs dans le monde entier. Des captures d'écran de versements à des organismes tels que CARE, la Croix-Rouge américaine ou Save the Children depuis les comptes bancaires de diverses personnalités sont publiées sur Internet. Les informations proviennent apparemment du piratage du site web de Stratfor, le Centre américain de prévisions stratégiques. L'opération a non seulement nui à l'image du collectif Anonymous, elle a aussi porté un coup aux ONG. Au bout du compte, celles-ci ont dû rembourser les paiements frauduleux pour éviter de payer des frais compensatoires. TriCk a été arrêté au Royaume-Uni en avril 2012. Ce jeune musulman de 17 ans a prétendu être responsable de la divulgation de conversations téléphoniques hautement sensibles du centre d'appels antiterroriste mis en place par Scotland Yard à l'intention du public91. Autres faits d'armes Bien que nombreuses, les actions menées par les cyberarmées ont relativement peu d'impact. Les médias n'en font état que lorsqu'un pirate vise un site institutionnel ou appartenant à un parti ou à un homme politique. Leur arme de prédilection est la dégradation des sites web. Chaque jour, des pirates dégradent des milliers de sites. Dans environ 10 % des cas, cette dégradation est l'œuvre des cyberactivistes que l'on peut généralement relier à l'idéologie qui prévaut chez les cyberguerriers. Attaque du groupe Akincilar contre Anonymous 28 Cyberactivisme Cyberactivisme 29 Statistiques relatives aux sites web dégradés (source : zone-h) Motif de l'attaque Nombre de sites Par simple jeu 829 975 Quête de reconnaissance 289 630 Non disponible 94 017 Patriotisme 58 970 Raisons politiques 57 083 Représailles contre le site web 45 093 Défi 44 457 Les données de zone-h révèlent les principales raisons des attaques de sites web en 2010. Plus de 800 000 actions ne constituaient qu'un « simple jeu92 ». Quelques exemples des actions menées par les cyberarmées : • Tout au long de l'année 2010, des pirates indiens et pakistanais s'affrontent lors de nombreuses cyberattaques. Deux factions, respectivement appelées Indian Cyber Army et Pakistan Cyber Army, revendiquent les attaques. • En avril 2010, plusieurs pirates roumains dégradent des sites web français et anglais. Ils protestent contre l'amalgame entre Roumains et tziganes fait par certains médias. En France, c'est un croquis de Jonathan Lambert qui irrite les contestataires. • En 2010, des sympathisants du Hamas palestinien diffusent une vidéo d'animation mettant en scène le père du soldat israélien Gilad Shalit. Peu de temps après, des sites soutenant la cause palestinienne sont dégradés. En mai, les comptes Facebook de nombreux israéliens sont piratés en réponse à l'arraisonnement d'une flottille dite « de la Paix » en route vers Gaza. • Le 27 août, aux Philippines, des sites officiels sont dégradés. Les auteurs de l'attaque réclament une enquête après que huit touristes de Hong Kong ont été tués (le 23 août) à Manille, lors de l'assaut d'un bus dans lequel une quinzaine de personnes étaient retenues en otage. • En novembre 2010, en représailles à la diffusion de vidéos de tortures subies par le peuple Papou, attribuées à l'armée indonésienne, plusieurs sites d'ONG dont Survival International sont la cible de cyberattaques. • En février 2011, des patriotes turcs lancent une campagne dénonçant le processus de reconnaissance du génocide arménien. Plus de 6 000 sites sont touchés. En France, en décembre 2011, l'adoption par le parlement de la proposition de loi réprimant la négation des génocides fâche les cyberactivistes turcs. Plusieurs sites sont dégradés dont celui de Valérie Boyer, députée à l'origine du texte de loi et Patrick Devedjian, député d'origine arménienne. • Au cours du premier week-end de mars, une quarantaine de sites gouvernementaux sud-coréens font l'objet d'attaques DDoS. • Toujours en mars, un site d'informations soutenant l'opposition thaïlandaise déclare avoir été infiltré. L'auteur de l'attaque aurait publié de faux articles afin de discréditer le média. 30 Cyberactivisme Conclusion Comme la frontière entre Anonymous, cyberindignés et cyberarmées est parfois floue, il est difficile de bien comprendre les acteurs et leurs motivations. A l'instar de certains activistes qui n'hésitent pas à entrer par effraction dans les centrales nucléaires et d'autres propriétés privées, les cyberactivistes s'introduisent dans des espaces numériques qui leur sont interdits. Faute de véritable structure, certaines opérations cyberactivistes se limitent à des plaisanteries de mauvais goût, alors d'autres s'apparentent plus à des activités mafieuses (vol de données bancaires). Ces actes de piratage sont souvent contestables, et même incompréhensibles. Le caractère quelque peu aléatoire de leurs motivations laisse penser que certains jouent sans doute un double jeu en se livrant à des activités illégales sous le couvert de l'activisme politique. De l'avis des « white hats » (pirates dénués d'intentions malveillantes), le manque d'éthique constaté dans de nombreuses opérations laisse penser que certains cyberactivistes pourraient être à la botte de certains services de renseignements gouvernementaux. Le cyberactivisme, lié ou non au mouvement Anonymous, est un phénomène qui a pris une grande ampleur. Tout comme les criminels avaient compris dix ans plus tôt qu'Internet pouvait devenir l'un de leurs terrains de jeu favori, un grand nombre d'internautes ont découvert en 2010 que le Web pouvait servir de plateforme collective de revendication. Encouragés par Anonymous, qui l'avait déjà compris, les cyberactivistes ont été très actifs en 2010 et 2011. Penchons-nous à présent sur l'évolution possible de ces organisations au cours des deux prochaines années. Evolution possible du mouvement cyberactiviste Cyberactivisme 31 Après avoir joué les vandales et les manifestants bruyants, certains cyberactivistes animés par une réelle conscience politique cherchent à évoluer et à s'organiser. Issus de la mouvance Anonymous que nous connaissons aujourd'hui, les cyberactivistes de la première heure semblent se transformer lentement avec l'arrivée de nouvelles recrues dotées d'autres compétences : • Graphistes pour une meilleure communication bénévoles pour un journalisme participatif fonctionnant comme Wikipédia (crowd journalism, ou journalisme collectif) • Informaticiens chevronnés pour mener des opérations plus sophistiquées et plus destructrices pour les futures victimes • Stratèges pour trouver d'autres formes d'actions et rapprocher militants et cybermilitants • Juristes pour établir le droit de manifestation en ligne (légalisation de certaines formes d'attaques par déni de service distribué p. ex.) • Journalistes Pour bon nombre de spécialistes de la sécurité Internet, ce dernier point peut surprendre. Certains sympathisants de la cause cyberactiviste, peut-être les altermondialistes numériques de demain, militent en effet pour une légalisation du DDoS militant. Dans le schéma précédent, ces individus représentent la deuxième génération d'Anonymous. Un de leurs proches a rapporté à McAfee Labs qu'ils comparent la dégradation de sites web à un affichage de banderole et le déni de service distribué à une grève d'occupation bloquant l'entrée d'un bâtiment. Comme il est d'usage avant une manifestation conventionnelle, la deuxième génération d'Anonymous imagine soumettre une demande d'autorisation d'attaque qui spécifierait les dates, les cibles et la durée d'une action par déni de service. Si les cyberactivistes ne se structurent pas et continuent d'accepter tout qui s'engage à agir en leur nom, nous pourrions nous retrouver à l'aube d'une guerre civile numérique. C'est l'ensemble du mouvement cyberactiviste qui risque d'être la victime d'une criminalisation accrue et de devenir la cible de gouvernements soucieux de protéger leurs activités économiques et leurs infrastructures critiques toujours plus dépendantes des technologies de l'information. Toutefois, si les cyberactivistes de 2012 parviennent à mûrir, à s'organiser, voire à se mobiliser en dehors du Web, Anonymous pourrait devenir la version 2.0 des organisations non gouvernementales, parfois contestables d'un point de vue idéologique mais néanmoins respectées dans nos démocraties. Des liens avec des organisations politiques d'un nouveau genre, tel le mouvement des partis pirates, peuvent constituer un premier pas vers cette évolution93. 32 Cyberactivisme L'auteur François Paget est chargé de recherche sur les logiciels malveillants chez McAfee Labs en France. Il participe aux recherches sur les logiciels malveillants depuis 1990 et figurait en 1995 parmi les membres fondateurs d'Avert Labs, devenu aujourd'hui McAfee Labs. François Paget participe régulièrement en tant qu'intervenant aux conférences et événements sur la sécurité informatique, en France et à l'étranger. Auteur d'un ouvrage et de nombreux articles, il occupe le poste de secrétaire général du Club de la sécurité de l'information français (CLUSIF). A propos de McAfee Labs McAfee Labs est l'équipe de recherche mondiale de McAfee. Seul organisme de recherche spécialisé dans tous les vecteurs de menaces (logiciels malveillants, vulnérabilités, menaces visant les environnements web, la messagerie électronique et les réseaux), McAfee Labs collecte des renseignements provenant de ses millions de sondes et de son service dématérialisé McAfee Global Threat Intelligence™. L'équipe de 350 chercheurs pluridisciplinaires de McAfee Labs, présente dans 30 pays, suit l'éventail complet des menaces en temps réel, identifiant les vulnérabilités des applications, analysant et mettant en corrélation les risques et permettant des corrections instantanées pour protéger les entreprises et les particuliers. A propos de McAfee McAfee, filiale à part entière d'Intel Corporation (NASDAQ : INTC), est la plus grande entreprise au monde entièrement dédiée à la sécurité informatique. Elle propose dans le monde entier des solutions et des services proactifs et réputés, qui assurent la sécurisation des systèmes, des réseaux et des équipements mobiles et qui permettent aux utilisateurs de se connecter à Internet, de surfer ou d'effectuer leurs achats en ligne en toute sécurité. Grâce au soutien de son système hors pair de renseignements sur les menaces Global Threat Intelligence, McAfee crée des produits innovants au service des particuliers, des entreprises, du secteur public et des fournisseurs de services, pour les aider à se conformer aux réglementations, à protéger leurs données, à prévenir les perturbations dans le flux des activités, à identifier les vulnérabilités ainsi qu'à surveiller et à améliorer en continu leurs défenses. McAfee consacre tous ses efforts à trouver des solutions novatrices afin d'assurer à ses clients une protection irréprochable. www.mcafee.com/fr Cyberactivisme 33 Hacktivism, From Here to There (Le cyberactivisme, d'ici à là). Cult of the Dead Cow. Publié en ligne. McAfee Labs conseille de ne pas consulter ce site, marqué rouge par McAfee SiteAdvisor. 2 Cult of the Dead Cow. Publié en ligne. 3 http://www.bris2600.com/hall_of_fame/ccc.php 4 http://www.cert.org/advisories/CA-1989-04.html 5 http://en.wikipedia.org/wiki/Intervasion_of_the_UK 6 http://www.tommasotozzi.it/index.php?title=Netstrike_(1995) 7 http://www.2600.com/hackedphiles/east_timor/ 8 http://findarticles.com/p/articles/mi_6914/is_2_22/ai_n28817798/pg_4/ 9 http://www.etoy.com/projects/toywar/ 10 http://www.fraw.org.uk/projects/electrohippies/archive/wto_prelease.pdf 11 http://www.libertad.de/inhalt/projekte/depclass/spiegel/fr/info/review.html 12 http://digital-stats.blogspot.com/2010/08/forum-4chan-receives-approximately-95.html 13 http://techland.time.com/2008/07/10/now_in_papervision_the_4chan_g/ 14 Lulz est le pluriel de « lol » et signifie également un rire sardonique ou malveillant. 15 http://encyclopediadramatica.se/Main_Page. Une nouvelle forme du site, censée être plus politiquement correcte, est disponible à l'adresse http://ohinternet.com/Main_Page. 16 http://cnews.canoe.ca/CNEWS/Crime/2007/12/07/4712680-sun.html 17 ISBN 978-2-916571-60-7 18 « Chanology » est la contraction de « chan » ou « channel » (du forum 4chan) et de « Scientology ». 19 http://cnews.canoe.ca/CNEWS/Crime/2007/12/07/4712680-sun.html 20 http://musicmachinery.com/2009/04/15/inside-the-precision-hack/ 21 http://www.businesspundit.com/anonymous-joins-fight-against-tyranny-in-iran/ 22 http://www.guardian.co.uk/media/pda/2010/jan/06/youtube-porn-attack-4chan-lukeywes1234 23 http://delimiter.com.au/2010/02/10/anonymous-attacks-govt-websites-again/ 24 http://knowyourmeme.com/memes/events/operation-payback 25 http://www.myce.com/news/anonymous-operation-payback-timeline-infographic-36481/ 26 http://www.zonebourse.com/barons-bourse/Mark-Zuckerberg-171/actualites/Anonymous-prevoit-de-detruire-Facebook-le-5-novembreprochain--13753673/ 27 http://www.guardian.co.uk/world/2007/aug/31/kenya.topstories3 28 http://www.reuters.com/article/2007/11/14/us-guantanamo-manual-idUSN1424207020071114?pageNumber=1 29 http://www.theregister.co.uk/2008/04/08/church_of_scientology_contacts_wikileaks/ 30 https://www.eff.org/files/filenode/EFF_PK_v_USTR/USTRcomplaint.pdf 31 http://mybroadband.co.za/news/internet/14702-outcry-in-belgium-over-wikileaks-publications-of-dutroux-dossier.html 32 http://icelandweatherreport.com/2009/08/kaupthings-loan-book-exposed-and-an-injunction-ordered-against-ruv.html 33 http://fr.wikipedia.org/wiki/Leet_speak 34 http://www.spamhaus.org/news/article/665 35 http://www.newyorker.com/reporting/2010/06/07/100607fa_fact_khatchadourian 36 http://www.youtube.com/watch?v=_4LU7piK9X4 37 http://www.thestandard.co.zw/local/27601-first-lady-gono-in-diamond-scandal-wikileaks.html 38 http://cert.lexsi.com/weblog/index.php/2011/01/07/398-operation-zimbabwe-chronique-dune-cyber-attaque-contre-les-sites-gouvernementauxzimbabweens-par-le-groupe-hacktiviste-anonymous 39 http://temporaryartist.wordpress.com/2011/01/17/we-are-winning-the-thoughts-of-a-single-humble-anon/ 40 Anonymous, page 235, par Frédéric Bardeau et Nicolas Danet (ISBN 978-2-916571-60-7) 41 http://www.ft.com/intl/cms/s/0/87dc140e-3099-11e0-9de3-00144feabdc0.html 42 http://www.guardian.co.uk/commentisfree/cifamerica/2011/jun/22/hacking-anonymous 43 http://www.mediaite.com/online/exclusive-gawker-hacker-gnosis-explains-method-and-reasoning-behind-his-actions/ 44 http://blogs.computerworld.com/18307/face_of_anonymous_quits_exclusive_interview_with_barrett_brown 45 http://www.foxnews.com/scitech/2012/03/06/hacking-group-lulzsec-swept-up-by-law-enforcement/ 46 ENEL : Ente Nazionale per l'Energia Elettrica, Italie ; EDF : Electricité de France ; ENDESA : Empresa Nacional de Electricidad, SA, Espagne et Amérique Latine 47 http://www.tgdaily.com/security-features/55690-anonymous-launches-operation-blitzkrieg 48 http://e-worldwar.com/~/index.php?option=com_content&view=article&id=86&Itemid=494 49 http://en.wikipedia.org/wiki/Operation_AntiSec 50 http://www.thetechherald.com/articles/The-FBIs-warning-about-doxing-was-too-little-too-late 51 http://www.rtbf.be/info/medias/detail_le-groupe-de-pirates-anonymous-a-publie-les-coordonnees-de-25-000-policiers-autrichiens?id=6816493 52 http://www.ladepeche.fr/article/2011/09/29/1179489-copwatch-gueant-porte-plainte-contre-le-site-anti-flic.html 53 http://archives-lepost.huffingtonpost.fr/article/2011/08/08/2564639_anonymous-les-donnees-personnelles-de-la-police-americaine-sur-internet.html 54 http://www.ft.com/intl/cms/s/0/e8a6694c-95bb-11e0-8f82-00144feab49a.html#axzz1nDE7Z4df 55 http://globalvoicesonline.org/2011/10/31/mexico-fear-uncertainty-and-doubt-over-anonymous-opcartel/ 56 http://www.lanacion.com.ar/1406114-mexico-asesinados-y-colgados-por-denunciar-en-twitter-asuntos-narcos 57 http://www.tadla-azilal.com/technologies/mexique-les-menaces-sur-la-presse-setendent-aux-reseaux-sociaux/ 58 http://www.pcmag.com/article2/0,2817,2395863,00.asp#fbid=EBREppl_iKE 59 http://www.bbec.lautre.net/www/spip_truks-en-vrak/spip.php?article2121 60 http://www.youtube.com/user/BarrettBrown 61 http://www.f-secure.com/weblog/archives/00002160.html 62 http://www.guardian.co.uk/technology/2012/mar/06/lulzsec-court-papers-sabu-anonymous?intcmp=239 63 http://www.v3.co.uk/v3-uk/news/2154453/anonymous-laughs-nsa-claims-hacking-power-grid 64 http://obsession.nouvelobs.com/la-fermeture-de-megaupload/20120123.OBS9528/anonymous-en-fermant-megaupload-ils-nous-ont-prive-d-une-liberte.html 65 SSL est l'acronyme de Secure Sockets Layer, un protocole de sécurisation des échanges sur Internet, initialement développé par Netscape et souvent appelé TLS (Transport Layer Security). 66 http://mediacommons.futureofthebook.org/tne/pieces/anonymous-lulz-collective-action 67 Cette procédure est expliquée sur plusieurs forums, dont le suivant : http://pastebin.com/hR9FakGs 68 2mjtgjozdqg2aumu.onion 69 http://pastehtml.com/view/1e8t85a.html 70 https://code.commotionwireless.net/projects/commotion/wiki/Newbie_How_it_Works 71 http://freenetproject.org/whatis.html 1 34 Cyberactivisme http://thanatos.trollprod.org/sousites/hoic/ http://www.nytimes.com/2012/02/27/technology/attack-on-vatican-web-site-offers-view-of-hacker-groups-tactics.html?_r=1&pagewanted=all http://www.nbs-system.com/blog/analyse-de-loutil-de-ddos-loic.html 75 http://blogs.mcafee.com/mcafee-labs/android-diy-dos-app-boosts-hacktivism-in-south-america 76 http://blog.spiderlabs.com/2012/01/hoic-ddos-analysis-and-detection.html 77 http://thehackernews.com/2011/07/refref-denial-of-service-ddos-tool.html 78 http://www.rezocitoyen.fr/telecomix-hacker-pour-la-liberte.html?artpage=2-3 79 http://www.siliconmaniacs.org/telecomix-on-ne-casse-rien-on-repare-on-ameliore-on-reconstruit/ 80 http://www.rue89.com/2011/08/18/hackers-libertaires-notre-but-cest-partager-la-connaissance-218241 81 http://owni.fr/2011/09/14/opsyria-syrie-telecomix/ 82 Ce kit est toujours disponible : https://telecomix.ceops.eu/tcxnetpack.tgz 83 http://reflets.info/internet-coupe-en-egypte-enfin-presque/ 84 http://www.theregister.co.uk/2010/04/09/virtual_protest_as_ddos/ 85 http://www.contrepoints.org/2011/11/24/57189-climategate-2-0-de-nouveaux-mails-entachent-la-science-climatique 86 http://wikileaks.org/the-spyfiles.html 87 http://observers.france24.com/fr/content/20120116-site-armee-nigeriane-hacker-activistes-mobilisation-internet-prix-essence 88 http://www.branchez-vous.com/techno/actualite/2011/08/anonplus_anonymous_defacage_cyber_armee_syrie.html 89 http://www.bbc.co.uk/news/technology-14476620 90 http://www.theinquirer.net/inquirer/news/2128175/anonymous-team-poison-start-op-robin-hood 91 http://www.huffingtonpost.co.uk/2012/04/12/mi6-phone-hack-attack-was-easy-trick-mi6_n_1420308.html 92 http://www.zone-h.org/news/id/4737 93 http://www.pp-international.net/ 72 73 74 McAfee, le logo McAfee, McAfee Labs et McAfee Global Threat Intelligence sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Les plans, les spécifications et les descriptions des produits mentionnés dans le présent document sont donnés à titre indicatif uniquement. Ils peuvent être modifiés sans préavis et sont fournis sans aucune garantie, implicite ou explicite. Copyright © 2012 McAfee, Inc. 45800wp_hacktivism_0512_fnl_ETMG Tour Franklin, La Défense 8 92042 Paris La Défense Cedex France +33 1 47 62 56 00 (standard) www.mcafee.com/fr